Ferramenta ligada a ataques sofisticados volta a ameaçar iPhones
Uma das ferramentas mais avançadas já vistas em campanhas de espionagem digital contra iPhones voltou a preocupar especialistas em segurança. Pesquisadores identificaram que o kit de exploração conhecido como Coruna não apenas permanece ativo, como também evoluiu e hoje está por trás de ofensivas mais amplas contra usuários de iOS, muito além do círculo de alvos altamente selecionados que se via no passado.
A análise recente revelou conexões técnicas diretas entre o Coruna e a operação Triangulation, uma campanha de espionagem sofisticada revelada em 2023. Em vez de desaparecer após a exposição pública, o ecossistema de exploits parece ter sido mantido, refinado e expandido, apontando para um desenvolvimento contínuo e bem financiado.
De acordo com pesquisadores da Kaspersky, o exploit de kernel utilizado pelo Coruna para explorar as falhas CVE-2023-32434 e CVE-2023-38606 é, essencialmente, uma versão atualizada do mesmo código usado na operação Triangulation. Não se trata, portanto, de um reaproveitamento trivial de exploits já conhecidos, mas da evolução de um mesmo framework de exploração, ajustado para acompanhar as mudanças do iOS e dos chips da Apple.
O Coruna já havia sido descrito pelo Google como um kit extremamente robusto: são cinco cadeias completas de exploração e 23 exploits diferentes, direcionados a dispositivos com iOS da versão 13.0 até a 17.2.1. Esse alcance mostra como uma ferramenta originalmente associada a ataques de altíssimo nível – muitas vezes ligados a espionagem estatal ou a operações altamente direcionadas – passou a circular em um espectro mais amplo de atores maliciosos.
O vetor inicial de ataque continua sendo, em grande parte, o navegador Safari. A infecção começa quando a vítima acessa um site comprometido. Uma vez carregada a página, entra em ação um componente inicial do Coruna, responsável por identificar o navegador, a versão exata do iOS e detalhes do dispositivo. A partir dessa detecção, o framework escolhe a cadeia de exploração mais apropriada, de forma quase “sob medida”, para abrir uma brecha no kernel do sistema.
Depois da etapa de reconhecimento, o kit baixa e aciona uma série de componentes adicionais. Entre eles estão os exploits de kernel propriamente ditos, loaders em formato Mach-O (formato executável típico do ecossistema Apple) e um launcher dedicado a iniciar a fase de pós-exploração. É esse launcher que coordena a execução dos módulos seguintes, responsáveis por manter o acesso, ampliar privilégios e, em muitos casos, exfiltrar dados sensíveis do aparelho.
Esse mesmo launcher também é encarregado de ocultar vestígios da intrusão. Ele executa rotinas de limpeza, remove arquivos temporários, altera ou apaga evidências de execução e dificulta a detecção por ferramentas de segurança e por análises forenses posteriores. Em cenários de espionagem, essa capacidade de furtividade é tão importante quanto o próprio exploit.
A nova rodada de pesquisas mostra ainda que o Coruna foi atualizado para funcionar em chips de geração mais recente, como o A17 e a família M3, além de incluir verificações específicas para builds mais atuais do iOS. Essa adaptação constante indica que o projeto não está abandonado: há manutenção ativa, testes contra novas versões do sistema e ajustes contínuos para garantir que as cadeias de exploração continuem funcionais.
Esse tipo de evolução reforça um movimento mais amplo no mercado de cibersegurança ofensiva. Empresas especializadas em desenvolvimento de exploits, ferramentas de vigilância e kits de ataque complexos atraíram, nos últimos anos, aportes superiores a bilhões de dólares. A sofisticação técnica de ferramentas como o Coruna é, em parte, reflexo direto desse fluxo de capital e da profissionalização desse setor.
Como consequência, cresce também a demanda por Threat Intelligence – inteligência voltada a entender quem são os atacantes, quais táticas utilizam, quais vulnerabilidades exploram e como essas campanhas se desdobram ao longo do tempo. No caso específico do Coruna, foi justamente a correlação entre exploits, cadeias de ataque e características de código que permitiu ligar a ferramenta à operação Triangulation e acompanhar sua evolução entre diferentes campanhas.
Outro impacto relevante aparece nas metodologias modernas de Pentest (testes de intrusão). Em vez de se limitarem a simular ataques genéricos, muitas equipes de segurança passaram a reproduzir cenários inspirados em kits reais, como o Coruna, para avaliar se uma organização conseguiria detectar, responder e conter um ataque desse nível. Isso inclui testar não apenas o perímetro tradicional, mas também dispositivos móveis utilizados por executivos, equipes críticas e funcionários que lidam com informações sensíveis.
Para usuários de iPhone, a existência de um framework tão refinado não significa pânico imediato, mas exige uma mudança de mentalidade. Embora ataques desse nível sejam, em geral, direcionados a alvos de alto valor – como executivos, diplomatas, jornalistas e pesquisadores -, a própria ampliação do uso do Coruna indica que o gap entre “ataques de Estado” e ameaças ao usuário comum vem diminuindo. À medida que ferramentas avançadas se espalham, torna-se mais provável que partes desses arsenais acabem reutilizadas em outros contextos.
Algumas medidas reduzem significativamente o risco de exposição a campanhas desse tipo: manter o iOS sempre na última versão disponível; evitar o uso de navegadores desatualizados; desativar, quando possível, funções desnecessárias que ampliem a superfície de ataque; e ser extremamente cauteloso com links recebidos por mensagens, e-mails ou redes sociais, mesmo que pareçam legítimos. Em ambientes corporativos, é essencial incluir dispositivos iOS nas políticas de segurança, monitoramento e resposta a incidentes.
Do ponto de vista estratégico, o caso Coruna/Triangulation ilustra como o ciclo de vida de um exploit mudou. Antes, a expectativa era de que, após a divulgação pública e correção de uma vulnerabilidade, a ferramenta associada àquele bug simplesmente perdesse relevância. Hoje, vê-se o contrário: frameworks complexos são desenhados para serem modulares e atualizáveis, com a substituição de exploits específicos conforme novas falhas são descobertas ou antigas são corrigidas.
Essa modularidade transforma o kit em uma espécie de “plataforma de ataque”: o núcleo de controle, os loaders, o launcher e as rotinas de limpeza permanecem, enquanto as peças que efetivamente quebram a segurança do sistema são trocadas ou ajustadas. Isso torna a resposta defensiva muito mais difícil, porque não basta corrigir uma vulnerabilidade individual – é preciso entender o ecossistema de ataque como um todo.
Em paralelo, cresce a importância de técnicas de detecção baseadas em comportamento, e não apenas em assinaturas estáticas. Como o Coruna tenta, a todo momento, apagar rastros e se adaptar ao ambiente, soluções de segurança e equipes de resposta precisam focar em anomalias de uso, padrões incomuns de rede, mudanças súbitas em processos internos do sistema e outros indicativos sutis de comprometimento.
O ressurgimento do Coruna como peça central em ataques modernos contra iPhones mostra que o cenário de ameaças para dispositivos móveis está, definitivamente, no mesmo patamar de complexidade que aquele visto há anos em desktops e servidores. Se por muito tempo o iOS foi percebido como um ambiente “naturalmente seguro”, a realidade atual é que, para determinados perfis de alvo, ele se tornou um dos principais campos de batalha da espionagem digital.
Em resumo, a ferramenta não desapareceu: amadureceu, se sofisticou e acompanhou a evolução do hardware e do software da Apple. Para usuários finais, empresas e governos, a lição é clara: segurança em dispositivos móveis deixou de ser opcional ou secundária e precisa ser tratada como prioridade, com monitoramento constante, atualização rigorosa e integração plena às estratégias de defesa digital.